-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Tag: websecurity

Nowa wersja OWASP ZAP – narzędzia do testowania bezpieczeństwa aplikacji www

16 czerwca 2015, 11:07 | W biegu | 0 komentarzy

Od jakiegoś już czasu dostępna jest nowa wersja 2.4.0 tego popularnego (i bezpłatnego) narzędzia do testowania bezpieczeństwa aplikacji webowych. Nowa wersja ZAP-a o tyle cieszy, że wydawało się już że rozwój projektu stanął (jak w przypadku innych podobnych narzędzi budowanych pod skrzydłami OWASP – przykład: Webscarab). Cały rozwój wydaje się…

Czytaj dalej »

Boston Key Party CTF 2015, czyli nie taki diabeł straszny

03 marca 2015, 10:30 | Aktualności | komentarzy 8
Boston Key Party CTF 2015, czyli nie taki diabeł straszny

W dniach 27 lutego – 1 marca odbył się jeden z najbardziej znanych turniejów w kalendarzu CTF – Boston Key Party Capture The Flag 2015. W tekście zaprezentowane zostaną poszczególne wyzwania z kategorii dla początkujących „School Bus” wraz z rozwiązaniami – jak się okaże, ten poziom trudności jest jak najbardziej osiągalny dla każdego z nawet niewielkim doświadczeniem programistycznym.

Czytaj dalej »

Deobfuskacja JavaScript

24 lutego 2015, 14:40 | Teksty | komentarze 2
Deobfuskacja JavaScript

Obfuskacja (ang. obfuscation) to proces celowej modyfikacji kodu źródłowego w taki sposób, aby był on mniej czytelny, a rezultat jego wykonania nie zmienił się. W artykule spróbujemy odwrócić proces obfuskacji i próbować zrozumieć działanie zaciemnionego kodu.

Czytaj dalej »

Quick Tip: Mozilla SSL Configuration Generator

02 lutego 2015, 18:22 | Narzędzia, W biegu | komentarze 4
Quick Tip: Mozilla SSL Configuration Generator

Ostatni rok przyniósł nam wiele medialnych podatności, takich jak chociażby POODLE. Powoduje to coraz większe zainteresowanie tematem hardeningu SSL, a to przekłada się na więcej próśb znajomych deweloperów o sprawdzenie konfiguracji SSL. Warto więc zapisać sobie link do narzędzia Mozilli o nazwie SSL Config Generator, aby zaoszczędzić sobie nieco czasu :-). Powyższe narzędzie pozwala przygotować…

Czytaj dalej »

Ataki Slow HTTP DoS (cz. 2.) — powolne dosyłanie ciała żądania w ataku Slow HTTP Body przy użyciu slowhttptest

10 grudnia 2014, 18:25 | Narzędzia, Teksty | komentarzy 19
Ataki Slow HTTP DoS (cz. 2.) — powolne dosyłanie ciała żądania w ataku Slow HTTP Body przy użyciu slowhttptest

Pierwsza część artykułu rzuciła światło na problem powolnych połączeń HTTP, które są sercem ataku Slowloris. W drugiej części przyjrzymy się szczegółowo innej odmianie tego ataku – wariancie Slow HTTP Body. Zapoznamy się również z narzędziem SlowHttpTest pozwalającym przeprowadzać szczegółowe testy różnych zagrożeń Slow HTTP DoS.

Czytaj dalej »

Error-based SQL Injection w aplikacjach ASP(.NET) + MS SQL

14 października 2014, 21:34 | Teksty | komentarzy 5
Error-based SQL Injection w aplikacjach ASP(.NET) + MS SQL

W tym artykule przyjrzymy się, w jaki sposób wykorzystać podatność SQL Injection w aplikacji zbudowanej w oparciu o technologie Microsoft: ASP.NET (lub ASP) oraz MSSQL. Technika, którą wykorzystamy, znana jest jako „error based injection” – wszystkie interesujące nas informacje uzyskamy dzięki komunikatom błędów, jakie będzie zwracał nam serwer w odpowiedzi na nasze modyfikowane zapytania.

Czytaj dalej »